Loading
0

互联网黑势力之-流量劫持


[16] 常用于运营商流量劫持的分光镜像技术乌云平台上(目前一直在升级,恩 -_-||)也曾多次曝光运营商流量劫持的案例,例如曾经被用户举报的案例“下载小米商城被劫持到UC浏览器APP”,感谢万能的白帽子深入某运营商劫持平台系统为我们揭秘内幕。

[17] 被曝光的某运营商apk下载分发劫持的管理后台 以上种种,不得不让人想起“打劫圈”最富盛名的一句浑语,“此山是我开,此树是我栽,要想过此路,留下买路财”,“买网络送广告”已经成为网络运营商的标准套餐。这些劫持流量的买卖显然不仅仅是所谓的“个别内部员工违规操作”,还是那句话,用户越多责任越大,且行且珍惜。
2. CDN缓存污染CDN加速技术本质上是一种良性的DNS劫持,通过DNS引导将用户对服务器上的js、图片等不经常变化的静态资源的请求引导到最近的服务器上,从而加速网络访问。加速访问的良好用户体验使CDN加速被各大网站广泛使用,其中蕴含的惊人流量自然也成为流量劫持者的目标。

[18] 打开正常网页后跳转到“色播”诱导页面去年我们曾多次接到用户反馈使用手机浏览器打开网页时经常被跳转到色情推广页面,经过抓包分析,发现是由于百度网盟CDN缓存服务器中的关键JS文件被污染注入广告代码,劫持代码根据user-agent头判断流量来源后针对PC、Android、iOS等平台进行分流弹窗,诱导用户安装“伪色播”病毒APP。

[19] 抓包分析显示百度网盟的公共JS文件被注入广告代码

[20] 劫持代码根据访问来源平台的不同进行分流,推广“伪色播”病毒app
百度网盟作为全国最大的广告联盟之一,每天的广告流量PV是都是以亿为单位的,其CDN缓存遭遇劫持产生的影响将非常广泛。通过分析我们确认全国只有个别地区的网络会遭遇此类劫持,我们也在第一时间将这个情况反馈给了友商方面,但造成缓存被劫持的原因没有得到最终反馈,是运营商中间劫持还是个别缓存服务器被入侵导致还不得而知,但是这个案例给我们的CDN服务的安全防护再一次给我们敲响警钟。

[21] 通过流量劫持推广的“伪色播”病毒APP行为流程简图
从这个案例中我们也可以看出,移动端“劫持流量”很重要的一个出口就是“伪色情”诱导,这些病毒app基本上都是通过短信暗扣、诱导支付、广告弹窗、流量暗刷以及推广安装等手段实现非法牟利。这条移动端的灰色产业链在近两年已经发展成熟,“色播”类样本也成为移动端中感染量最大的恶意app家族分类之一。

[22] “伪色播”病毒APP进行诱导推广
这些“伪色播”病毒APP安装以后除了各种广告推广行为外,还会在后台偷偷发送短信去定制多种运营商付费业务,并且对业务确认短信进行自动回复和屏蔽,防止用户察觉;有些还集成了第三方支付的SDK,以VIP充值等方式诱导用户付费,用户到头来没看到想要的“福利”不说,吃了黄连也只能是有苦难言。

[23] 某“伪色播”病毒APP通过短信定制业务进行扣费的接口数据包

[24]病毒app自动回复并屏蔽业务短信,防止用户察觉
以其中某个专门做“色播诱导”业务的广告联盟为例,其背后的推广渠道多达数百个,每年用于推广结算的财务流水超过5000w元。从其旗下的某款色播病毒APP的管理后台来看,短短半年内扣费订单数据超过100w条,平均每个用户扣费金额从6~20元不等,抛开其他的流氓推广收益,仅扣费这一项的半年收益总额就过百万,而这只是海量“伪色播”病毒样本中的一个,那整个产业链的暴利收益可想而知。

[25] 某“伪色播”病毒APP的扣费统计后台

分页阅读: 1 2 3 4 5
【声明】:8090安全小组门户(https://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。